Social-Engineering-Angriffe
Die unterschätzte Gefahr
Bei der IT-Sicherheit geht es nicht nur um Technologien und Softwarelösungen, auch der Risikofaktor Mensch muss ins Kalkül gezogen werden. Die Minimierung dieser potenziellen Schwachstelle ist ein essenzieller Baustein einer Sicherheitsstrategie.
Die IT-Security-Strategie eines Unternehmens kann noch so gut sein – wenn Angreifer durch cleveres Social Engineering oder Social Hacking, also durch „soziale Manipulation“ der Mitarbeiter, Zugang zu Passwörtern und anderen vertraulichen Informationen erhalten, sind die besten technischen Sicherheitslösungen nutzlos. Und solche Social-Engineering-Angriffe liegen in der Hacker-Szene momentan im Trend, weil viele Unternehmen bei der Perimeter-Sicherheit auf dem Stand der Technik sind. Für Angreifer ist es deshalb schwierig und zeitintensiv, mit rein technischen Attacken in Unternehmensnetzwerke einzudringen.
Für die Durchführung dieser Art von Angriffen haben Betrüger mehrere Möglichkeiten: Die gängigste Methode sind Phishing-Mails, vor allem in Form von Spear-Phishing, also gezielte Angriffe auf wenige Personen per Mail. Weitere Varianten sind das Vishing per Telefonanruf, das Klonen eines WLAN-Access-Points oder der physische Zutritt zu einem Betriebsgelände. Künftig wird im Social-Engineering-Umfeld auch das Thema Deepfakes eine größere Rolle spielen. Bisher galten ein Video oder der Gesprächspartner bei einem Telefonat als real, da sich weder Videos noch Unterhaltungen am Telefon leicht fälschen ließen. Durch aktuelle Entwicklungen im Bereich der Deepfakes, das heißt durch die Fälschung von Audio- und Videodaten mit Hilfe von Künstlicher Intelligenz, ist es jedoch möglich geworden, mit geringem Aufwand sowohl Videos als auch ein beliebiges, gesprochenes Audiomaterial zu fälschen. Dadurch wird ein neuer Angriffsvektor für Social Engineering geschaffen, der vor allem deshalb extrem gefährlich ist, weil bis auf Weiteres dafür keine adäquaten technischen Abwehrmaßnahmen zur Verfügung stehen werden.
Security-Awareness-Trainings sind essenziell
Da die technischen Möglichkeiten zum Schutz von Unternehmen und Personen vor Social-Engineering-Angriffen limitiert sind, kommt dem sicherheitsbewussten Verhalten jedes einzelnen Mitarbeiters eine entscheidende Rolle zu. Folglich sind adäquate Security-Awareness-Trainings unverzichtbar. Zur Schärfung des Sicherheitsbewusstseins bieten sich zwei Arten von Awareness-Trainings an:
- Unternehmensspezifische Awareness-Trainings: Darin wird individuell auf mögliche Social-Engineering-Angriffe auf ein bestimmtes Unternehmen eingegangen. Durch die Vorstellung konkreter – und nicht allgemeingültiger – sicherheitsrelevanter Fälle aus dem Unternehmen entsteht eine deutlich bessere Identifikationsmöglichkeit für alle Mitarbeiter.
- Unternehmensprofiling aus Sicht des Angreifers: Beim Unternehmensprofiling wird analysiert, welche Informationen ein Angreifer über ein Unternehmen und die Mitarbeiter erlangen kann, beispielsweise über Suchmaschinen und in sozialen Netzwerken. Daraus wird ein Risikoprofil erstellt und ermittelt, welche Mitarbeiter am ehesten für einen Social-Engineering-Angriff ausgesucht werden. Im Anschluss lassen sich individuelle Awareness-Trainingsmaßnahmen konzipieren, die auf den jeweiligen Mitarbeiter zugeschnitten sind.
Kommunikation über digitale Kanäle: 5 Tipps für einen aufmerksamen Umgang
Täter nutzen beim Social Engineering tief sitzende menschliche Dispositionen und Bedürfnisse aus, um ihre kriminellen Ziele zu erreichen – etwa den Wunsch, anderen Menschen schnell und unbürokratisch zu helfen. Das macht es schwer, sich zuverlässig gegen diese Angriffsform zu schützen. Um das Risiko von Social-Engineering-Betrügereien zu mindern, hat das Bundesamt für Sicherheit in der Informationstechnik folgende Grundregeln aufgestellt:
- Gehen Sie verantwortungsvoll mit sozialen Netzwerken um. Überlegen Sie genau, welche persönlichen Informationen Sie dort offenlegen, da diese von Kriminellen gesammelt und für Täuschungsversuche missbraucht werden können.
- Geben Sie in privaten und beruflichen sozialen Netzwerken keine vertraulichen Informationen über Ihren Arbeitgeber und Ihre Arbeit preis.
- Teilen Sie Passwörter, Zugangsdaten oder Kontoinformationen niemals per Telefon oder E-Mail mit. Banken und seriöse Firmen fordern ihre Kunden nie per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf.
- Lassen Sie bei E-Mails von unbekannten Absendern besondere Vorsicht walten: Sollte auch nur ansatzweise der Verdacht bestehen, dass es sich um einen Angriffsversuch handeln könnte, reagieren Sie doch im Zweifelsfall besser überhaupt nicht. Wenn es sich um falschen Alarm handelt, wird sich ein Absender gegebenenfalls noch über einen anderen Kanal bei Ihnen melden.
- Sollte eine Reaktion zwingend erforderlich sein, vergewissern Sie sich durch einen Anruf beim Absender oder der Absenderin, dass es sich um eine legitime E-Mail handelt.
- Die unterschätzte Gefahr
- Management Hack ermittelt Sicherheitsrisiko der Chefetage
Lesen Sie mehr zum Thema
